Durante alcuni esperimenti condotti negli ultimi giorni ho scoperto che la piattaforma Blogger soffre di una vulnerabilità XSS.
In pratica chiunque abbia la possibilità di postare su un blog tramite l'interfaccia di Blogger può iniettare codice javascript come ad esempio il semplice :
[script]alert(document.cookie)[/script] (sostituite le '[' con '<;') Ho notato in particolare che se il blog è ospitato su blogspot.com il codice viene eseguito ma i cookie non vengono mostrati...mentre se si inietta il codice su un blog ospitato all'interno di un sito web come, per esempio, quello di Siculezza.it i cookie vengono visualizzati correttamente...probabilmente ciò dipende da una diversa configurazione del web server. Per una POC della vulnerabilità visitate questo sito: http://pocasiculezza.blogspot.com
Oppure guardate attentatmente il prossimo paragrafo
11 agosto 2007
Iscriviti a:
Commenti sul post (Atom)
0 commenti:
Posta un commento